Uma nova e sofisticada variante do trojan bancário "Coyote" está a explorar uma funcionalidade de acessibilidade do Windows, a Microsoft UI Automation, para identificar os sites de bancos e de criptomoedas que um utilizador acede, com o objetivo final de roubar credenciais.
A UI Automation (UIA) é uma framework de acessibilidade da Microsoft, desenhada para permitir que tecnologias de assistência, como leitores de ecrã, possam interagir, inspecionar e controlar os elementos da interface de utilizador das aplicações. Agora, esta ferramenta com fins legítimos está a ser transformada numa arma por cibercriminosos.
Investigadores da Akamai já tinham alertado em dezembro de 2024 para a possibilidade de a UIA ser utilizada para roubo de credenciais, salientando que a técnica consegue contornar as proteções de EDR (Endpoint Detection and Response). Agora, os mesmos investigadores confirmam que observaram ataques a utilizar esta técnica desde fevereiro de 2025, marcando o primeiro caso real de malware a abusar da UIA para roubo de dados.
A evolução do Coyote e o abuso da UIA
O Coyote é um trojan bancário que visa roubar credenciais de 75 aplicações bancárias e de plataformas de criptomoedas, com um foco principal em utilizadores no Brasil. O malware, documentado pela primeira vez em fevereiro de 2024, utilizava táticas como keylogging e sobreposições de phishing, mas tem evoluído significativamente.
A mais recente variante do Coyote continua a usar os métodos tradicionais para atacar uma lista pré-definida de aplicações, mas adicionou o abuso da UIA como uma nova tática. Quando o utilizador abre um site de um banco ou de uma plataforma de criptomoedas no browser, o malware entra em ação. Se não conseguir identificar o site pelo título da janela, o Coyote utiliza a UIA para extrair o endereço web diretamente dos elementos da interface do navegador, como os separadores ou a barra de endereço.
Posteriormente, compara esse endereço com a sua lista de 75 serviços alvo. "Se não encontrar uma correspondência, o Coyote usará a UIA para analisar os elementos da interface da janela numa tentativa de identificar os separadores do navegador ou as barras de endereço", explica a Akamai no seu relatório.
Entre os bancos e as plataformas de troca de criptomoedas identificados através deste método encontram-se o Banco do Brasil, CaixaBank, Banco Bradesco, Santander, banco Original, Sicredi, Banco do Nordeste, e várias aplicações de criptomoedas como Binance, Electrum, Bitcoin e Foxbit.
Um risco que vai além do reconhecimento
Embora o abuso desta função do Windows se limite, para já, a uma fase de reconhecimento, a Akamai partilhou uma demonstração (prova de conceito) de como a UIA também pode ser explorada para roubar as credenciais inseridas nestes sites.
O poder das ferramentas de acessibilidade, essenciais para que pessoas com deficiência possam utilizar os seus dispositivos, torna-as também um alvo atrativo para fins maliciosos. Este problema assumiu proporções massivas no sistema Android, onde o abuso dos Serviços de Acessibilidade por malware é uma ameaça constante, levando a Google a implementar múltiplas medidas de mitigação ao longo dos anos.
Nenhum comentário
Seja o primeiro!